Microsoft Sentinel용 Sophos Endpoint Protection(Azure Functions 사용) 커넥터
Sophos Endpoint Protection 데이터 커넥터는 Sophos 이벤트를 Microsoft Sentinel로 수집하는 기능을 제공합니다. 자세한 내용은 Sophos Central Admin 설명서를 참조하세요.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | SophosEP_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Microsoft Corporation |
쿼리 샘플
모든 로그
SophosEP_CL
| sort by TimeGenerated desc
필수 조건
Sophos Endpoint Protection(Azure Functions 사용)과 통합하려면 다음이 있는지 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- REST API 자격 증명/권한: API 토큰이 필요합니다. API 토큰에 대해 자세히 알아보려면 설명서를 참조하세요.
공급업체 설치 지침
참고 항목
이 커넥터는 Azure Functions를 사용하여 Sophos Central API에 연결하고 해당 로그를 Microsoft Sentinel로 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
참고 항목
이 데이터 커넥터는 Microsoft Sentinel 솔루션과 함께 배포되는 SophosEPEvent가 예상대로 작동하도록 하기 위해 Kusto 함수를 기반으로 하는 파서를 사용합니다.
1단계 - Sophos Central API에 대한 구성 단계
지침에 따라 자격 증명을 가져옵니다.
- Sophos Central Admin에서 전역 설정 > API 토큰 관리로 이동합니다.
- 새 토큰을 만들려면 화면의 오른쪽 위 모서리에서 토큰 추가를 클릭합니다.
- 토큰 이름을 선택하고 저장을 클릭합니다. 이 토큰에 대한 API 토큰 요약이 표시됩니다.
- 복사를 클릭하여 API 토큰 요약 섹션에서 API 액세스 URL + 헤더를 클립보드로 복사합니다.
2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수 배포
중요: Sophos Endpoint Protection 데이터 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키가 있어야 합니다(다음에서 복사 가능).
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동하세요.